F-Secure ทดสอบแล้ว มือถือ Xiaomi ส่งข้อมูลกลับไปยังเมืองจีนจริงๆ

By mk Founder on Tag: Privacy, China, F-Secure, Xiaomi
Privacy

จากกรณี Xiaomi Redmi Note แอบส่งรูปถ่ายและข้อความกลับไปยังเซิร์ฟเวอร์ในจีน บริษัทความปลอดภัย F-Secure เลยตัดสินใจทดสอบเรื่องนี้ครับ

ทีมงาน F-Secure ใช้อุปกรณ์ทดสอบเป็น Xiaomi RedMi 1S เครื่องใหม่แกะกล่องโดยไม่ตั้งค่าใดๆ และไม่สร้างบัญชีผู้ใช้ใหม่ตั้งแต่ตอนเปิดเครื่อง จากนั้นใส่ซิมการ์ด, ต่อ Wi-Fi, เปิด GPS, เพิ่มรายชื่อในสมุดที่อยู่, รับส่ง SMS และโทรออก/รับสาย กระบวนการทั้งหมดถูกดักจับทราฟฟิกอินเทอร์เน็ตที่วิ่งเข้าออกจากเครื่อง

ผลคือ RedMi ส่งชื่อโอเปอเรเตอร์ที่ใช้งาน, เลข IMEI และหมายเลขโทรศัพท์ของซิม, หมายเลขโทรศัพท์ในสมุดที่อยู่, หมายเลขโทรศัพท์ของ SMS ที่ได้รับ กลับไปยัง api.account.xiaomi.com (หลังจากนั้น F-Secure ทดลองล็อกอินบัญชี Mi Cloud และพบว่าข้อมูลถูกส่งกลับไปเช่นกัน)

Xiaomi HK โพสต์อธิบายเรื่องนี้โดยลิงก์ไปยัง Privacy Policy ที่อยู่บนเว็บ ซึ่งระบุว่าเมื่อเปิดใช้โทรศัพท์ Xiaomi เป็นครั้งแรก บริษัทจะเก็บข้อมูล 3 ส่วนคือ

  • mobile user identification information
  • mobile device unique identification
  • location information of your device

เพื่อประโยชน์ด้านการอัพเดตระบบและกู้คืนระบบ อย่างไรก็ตามในนโยบายนี้ไม่ได้ระบุว่าจะเก็บข้อมูลหมายเลขโทรศัพท์ SMS หรือหมายเลขโทรศัพท์ในสมุดที่อยู่ด้วย

ที่มา - F-Secure

อัพเดต Xiaomi แก้ข่าวแล้วนะครับ Xiaomi อธิบายปัญหาส่งข้อมูลกลับว่าเป็นฟีเจอร์ส่ง SMS ฟรีผ่านเน็ต, ออกแพตช์ปิดแล้ว

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

pasuth73 Sun, 10/08/2014 - 13:28

Xiaomi Baidu Edition แต่มันดันเป็นทุก Edition ซะด้วยสิ:P

Alpha Version Sun, 10/08/2014 - 13:37

รอบที่แล้วหลักฐานยังไม่แน่นพอ เห็นแค่ว่ามีการ connect ไปที่ server ของ xiaomi รอบนี้ขอชัด ๆ เลยนะครับ เอาให้หนัก

ผมอยากให้ xiaomi เห็นความสำคัญของ user privacy และลงมาแก้ไขเรื่องนี้ ไม่ใช่เอา Hugo Barra มาชี้แจงสร้างความมั่นใจเฉย ๆ อยากเห็นการแก้ปัญหาไม่ใช่แก้ภาพลักษณ์ครับ

จากผู้ใช้ MI3

pasuth73 Sun, 10/08/2014 - 16:23

เลิกใช้ก็ไม่รอดครับเพราะการกระทำใดๆก็เกี่ยวกับเทคโนโลยีก็ดูดได้หมดเช่นเราเดินผ่าน CCTV ถ้าจะให้ดีตายเลยดีฟ่าครับ แต่ถึงตายก็โดนดักข้อมูลก่อนตายได้อีกงั้นต้องอย่าเกิดมาครับ เกิดเป็นแบคทีเรียก็ยังมีโอกาสโดยดักข้อมูลไปวิจัย :P

Golflaw Sun, 10/08/2014 - 15:17

เห็นข่าวนี้และข่าวเก่ามีแต่ redmi note ผมว่าน่าสังเกตุนะครับ
ทำไมถึงไม่ทดสอบรุ่นอื่นด้วย? หรือมีปัญหาแค่รุ่นเดียว? ถ้ามีปัญหารุ่นเดียวทำไมถึงจงใจเก็บข้อมูลแค่รุ่นนี้?

lew Sun, 10/08/2014 - 16:46

มีปัญหารุ่นเดียวก็เกินพอแล้วนี่ครับ เขาออกเงินซื้อเครื่องมาทดสอบเอง ไม่ใช่หน่วยงานทดสอบของรัฐ (ซึ่งเจ้าของสินค้าต้องจ่ายค่าทดสอบเอง) จะได้ทดสอบทุกเครื่องได้

Golflaw Sun, 10/08/2014 - 20:49

ถ้าเป็นแค่รุ่นเดียว xiaomi ยังพออ้างได้ครับว่าเกิดจากความผิดพลาด แต่ตามที่คุณ sakura บอกข้างบน ก็น่าจะบอกแล้วว่าเกิดจากการจงใจ และทาง xiaomi ก็ไม่น่าจะมีข้อแก้ตัวแล้ว

put4558350 Sun, 10/08/2014 - 18:16

เป็น middle man attack ครับ

ว่าง่ายๆ คือมือถือจะส่งข้อมูลไปที่ Server CN นั้นแหละ แต่โดนดักข้อมูลกลางทาง (อาจเป็น proxy ภายในที่ตั้งโดย F-Secure เอง) จากนั้นก็แกะดูว่ามือถือส่งข้อมูลอะไรออกไป

rerng007 Sun, 10/08/2014 - 17:37

ดีครับ
ผมอ่านต้นฉบับแล้ว เหมือนเนื้อความสื่อไม่ตรงกันซะทีเดียวนะครับเรื่อง SMS ที่ได้รับ เหมือนตัวเนื้อหา SMS จะไม่ได้ถูกส่งนะครับ เฉพาะ เบอร์โทร

ต้นฉบับเขียนว่า
"The phone number of contacts added to the phone book and from SMS messages received was also forwarded."

เนื้อข่าวเขียนว่า
"RedMi ส่งชื่อโอเปอเรเตอร์ที่ใช้งาน, เลข IMEI และหมายเลขโทรศัพท์ของซิม, หมายเลขโทรศัพท์ในสมุดที่อยู่, SMS ที่ได้รับ กลับไปยัง api.account.xiaomi.com "

tekkasit Sun, 10/08/2014 - 17:56

The phone number of contacts added to the phone book and from SMS messages received was also forwarded..

ผมเห็นด้วยนะ พอคำว่า from ตรงนี้ ทำให้กลายเป็นแค่เบอร์โทรผู้ส่ง SMS เท่านั้น

แต่ก็นั่นแหล่ะ จะเอาเบอร์โทรศัพท์ใน phone book กับเบอร์คนส่ง SMS ไปทำไม

pasuth73 Sun, 10/08/2014 - 19:39

ที่ผมคิดได้นะ เอาเบอร์คนมาส่ง SMS โฆษณาแบบเจาะจงคนครับ โดยเริ่มต้นให้ hao123 กับ PC Faster เข้าไปสำรวจ PC ให้เรียบร้อยแล้วเอา เสี่ยวหมี่ ดูด เบอร์เพื่อเอามาวิเคราะห์โฆษณา หรือร้ายกว่านั้นร่วมมือกับโอเปอร์เรเตอร์ในการติดตามคนจากซิมทโทรศัพท์ ไปไกล:P

ปลงนะเรา Sun, 10/08/2014 - 22:58

มิน่า S3 live demo unit ของผม ทำยังไงก็ล๊อคอิน xiomi ไม่ได้ เพราะไม่มีอะไรให้ดูด sim ไม่มี operator ไม่มี imei ไม่มี SMS ยิ่งไม่มีใหญ่ เลยอด